JVNVU#92920025
複数のEaton製品における複数の脆弱性

Eaton社が提供する複数の製品には、複数の脆弱性が存在します。

CVE-2021-23283

• Eaton Intelligent Power Protector v1.69 release 166より前のバージョン

• Eaton Intelligent Power Manager Infrastructure v1.5.0 plus205を含むすべてのバージョン

• Eaton Intelligent Power Manager v1 v1.70より前のバージョン

Eaton社が提供する複数の製品には、次の複数の脆弱性が存在します。

• クロスサイトスクリプティング (CWE-79) - CVE-2021-23282、CVE-2021-23283

  CVSS v3

  CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H

  基本値: 5.2

• クロスサイトスクリプティング (CWE-79) - CVE-2021-23284

  CVSS v3

  CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:H

  基本値: 5.7

• クロスサイトスクリプティング (CWE-79) - CVE-2021-23285

  CVSS v3

  CVSS:3.1/AV:A/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:N

  基本値: 3.1

• CSVファイル内の数式インジェクション (CWE-1236) - CVE-2021-23286

  CVSS v3

  CVSS:3.1/AV:A/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:H

  基本値: 5.4

想定される影響は各脆弱性により異なりますが、ローカルサブネットへのアクセスと管理者権限を持つユーザによって次のような影響を受ける可能性があります。

• 任意のスクリプトを実行される - CVE-2021-23282、CVE-2021-23283、CVE-2021-23284、CVE-2021-23285
• 細工されたCSVファイルをインポートすることで、システムに影響を与えるコードを実行される - CVE-2021-23286

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。

CVE-2021-23283
本脆弱性は、Eaton Intelligent Power Protector v1.69で修正されています。
CVE-2021-23282
本脆弱性は、Eaton Intelligent Power Manager v1.70で修正されています。

ワークアラウンドを実施する
開発者によると、Eaton Intelligent Power Manager Infrastructureはサポート終了を迎えており、後継製品であるIPM Monitor Editionへの移行を進めているとのことです。移行が完了するまでは脆弱性に対して以下のワークアラウンドを推奨しています。

CVE-2021-23284、CVE-2021-23285、CVE-2021-23286

• システムへのアクセスを既知のユーザーのみに限定する。
• 資格情報が保護されていることを確認する。